Para las garantías del gobierno y las solicitudes de datos, ¿es el cifrado del lado del cliente el camino a seguir? [cerrado]

Navega tus respuestas
1

Sé que el cifrado del lado del cliente generalmente no se ve como ideal. Sin embargo, no puedo imaginarme cómo el cifrado del lado del servidor puede darle al usuario una total tranquilidad.

Si los datos están cifrados en el cliente y el servidor solo recibe datos cifrados, es imposible para el propietario del servidor, incluso bajo la presión de un gobierno, manipular los datos o proporcionarle una puerta trasera.

Sin embargo, en el lado del servidor, el propietario del servidor podría estar bajo la presión del gobierno para canalizar ciertos datos antes de que ingresen el cifrado a una puerta trasera del gobierno.

Por lo tanto, si estuviera tratando de crear una empresa en la que, incluso si el gobierno lo obligara a entregar los datos de un determinado usuario, el cifrado del lado del cliente no le brindaría a usted, el propietario del servidor, una mejor protección contra ¿Un ultimátum?

    
pregunta Snowman 16.11.2016 - 23:51
fuente

1 respuesta

2
  

Sé que el cifrado del lado del cliente generalmente no se considera ideal.

No creo que eso sea cierto; puedes estar mezclando algunas cosas diferentes.

Una de las reglas canónicas en el diseño de software seguro es nunca confiar en el usuario . Esto significa que cada vez que haga, digamos, la validación de que un campo de formulario está en el formato correcto, debe hacerlo en el servidor, o bien un atacante puede alimentar a su aplicación con una carga útil de ataque. Esto también es válido para ciertas formas de criptografía, siempre y cuando sea algo en el que su aplicación interactúe con los datos resultantes.

De lo que estás hablando aquí es de cifrado de extremo a extremo . En estas situaciones, los datos cifrados solo se tratan en la aplicación del lado del servidor como un blob binario. Esto solo es útil en algunas situaciones, como el almacenamiento en la nube y las aplicaciones de mensajería, y renuncia a la capacidad de proporcionar las funciones que muchos usuarios desean, como la búsqueda sofisticada.

Entonces, para responder a tu pregunta,

  

Por lo tanto, si estuviera tratando de crear una empresa en la que, incluso si el gobierno lo obligara a entregar los datos de un determinado usuario, el cifrado del lado del cliente no le brindaría a usted, el propietario del servidor, una mejor protección contra ¿Un ultimátum?

Sí, el cifrado de extremo a extremo sí lo hace.

Sin embargo, hay otras cosas que considerar. ¿La aplicación cliente es de código cerrado? Entonces, ¿cómo puede el usuario verificar que no está enviando los datos sin cifrar a sus servidores (o los del gobierno)? ¿Se instala la aplicación cliente a través de una tienda de aplicaciones? ¿Cómo puede el usuario verificar que no ha introducido una nueva versión de la aplicación que realice cambios significativos con respecto a la que auditó? ¿La aplicación cliente está instalada como un binario? ¿Cómo puede el usuario verificar que el binario que está proporcionando proviene de la fuente no modificada que leyó? La reciente controversia del FBI de Apple trató algunos de estos problemas.

También está relacionado el tema del secreto hacia adelante , en el que no se entrega una llave al gobierno les permite descifrar pasadas conversaciones

    
respondido por el Xiong Chiamiov 17.11.2016 - 02:18
fuente

Lea otras preguntas en las etiquetas

Cookie cifrada para evitar ataques csrf ¿Es útil el rastreo de datos HTTPS? [cerrado]